TA505 조직, 국내 항공사 전자항공권 사칭 해킹 슬롯사이트사이트 유포 주의
안녕하세요?
이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
하계 휴가 시즌을 앞둔, 7월 25일 아침부터 국내 항공사의 전자항공권(e-ticket) 확인증으로 위장한 해킹 이슬롯사이트사이트이 다수 유포되고 있어 각별한슬롯사이트사이트가 필요합니다.
[그림1]국내 항공사의 전자항공권 확인증으로 위장한 슬롯사이트사이트
공격자는 '**항공 e-티켓 확인증입니다.' 이라는 슬롯사이트사이트 제목으로 사용자를 현혹하고 있으며, 이슬롯사이트사이트 내용 본문에서도 정교한 한국어를 사용하여, 슬롯사이트사이트 수신자로 하여금 첨부파일을 열어보도록 유도합니다.
첨부슬롯사이트사이트에는 'e-ticket 확인증_(랜덤숫자).iso' 슬롯사이트사이트명의 압축슬롯사이트사이트이 첨부되어 있으며, 압축 해제시 아이콘과 확장자명을 PDF문서로 위장한 스크린세이버 슬롯사이트사이트 'e-ticket 확인증_66016630.pdf.scr' 또는 'L207123.lnk' 등 다양한 악성슬롯사이트사이트이다운로드되게 됩니다.
'e-ticket 확인증_66016630.pdf.scr' 슬롯사이트사이트은 닷넷 기반으로 제작된 악성코드입니다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행합니다.
[그림 1-0] 닷넷 기반으로 제작된 악성슬롯사이트사이트의 C2 화면
[그림 1-1] 압축 슬롯사이트사이트 내부에 포함된 악성슬롯사이트사이트 화면
File Name | MD5 |
e-Ticket 확인증_5629110.iso | 44215ae4681773954b404ddfae416248 |
L207123.lnk | 22e41b97813c028fd7c4ae6d32572534 |
| e-Ticket 확인증_95291015.iso | f834018fee0597d8be54b7174bc5048d |
| e-Ticket 확인증_66016630.pdf.scr | 0571bb4ecf3dbf5d5185eabd7d03d455 |
| e-Ticket 확인증_5629110.iso | c9ce180f2fa6097798224c7cc3abdfaf |
| e-Ticket 확인증_54661619.pdf.scr | 1d87a127b31c8a67f6902bdc6366374b |
| e-Ticket 확인증_90912929.pdf.scr | 279215fc358060825372c2de68dd5c4f |
| e-Ticket 확인증_95291015.pdf.scr | 3f45a8fbec15305de1d4a296006c5b01 |
공격자는 발신지 이슬롯사이트사이트 주소를 다양하게 만들어 차단과 추적을 어렵게 만들고 있고, 해당 악성코드를슬롯사이트사이트 수신자가 실행할 경우, 특정 명령제어(C&C) 서버와 통신하여 추가 악성코드를 다운로드 및 실행하게 하고 있습니다.
- http://27.102.70[.]196/km1 -http://27.102.70[.]196/1.dat
- http://27.102.70[.]196/km2 -http://92.38.135[.]67/2.dat
- http://27.102.70[.]196/k1
- http://27.102.70[.]196/k2
- http://92.38.135[.]67/k1
- http://92.38.135[.]67/k2
- http://92.38.135[.]67/km1
- http://92.38.135[.]67/km2
- http://139.180.195[.]36/p1
- http://139.180.195[.]36/p2
- http://139.180.195[.]36/pm1
- http://139.180.195[.]36/pm2
- http://45.67.229[.]36/p1
악성코드와 통신하는 C&C주소는 다음과 같고, '92.38.135[.]67' 주소와 '27.102.70[.]196' IP 주소는 동일한 악성코드가 슬롯사이트사이트되었고,'45.67.229[.]36' 주소와 '139.180.195[.]36' 아이피에도 동일한 슬롯사이트사이트이 7월 중순에슬롯사이트사이트된 바 있습니다.
File Name | MD5 |
km1 | 91bce06fe0ee40afb9ba7ea12ae00a77 |
| km1 | c43496f70be5263a4bab6c853e610951 |
km2 | deb3a3d09a656ac14eb83574d2fcd2b3 |
| km2 | 62b1ad72a7cb1699cebe7b71518f65be |
k1 | 3f45a8fbec15305de1d4a296006c5b01 |
| k2 | cf07da2872c29a4682380a66080fcd61 |
k2 | ad78c04d0e7990d32d09becb82426d37 |
| p1 | 57484338303a48dffadf466f74db4bab |
| p2 | 57484338303a48dffadf466f74db4bab |
pm1 | c3e961ad583d9c4bd3892456eb6516d5 |
| pm2 | c3e961ad583d9c4bd3892456eb6516d5 |
1차로 다운로드되는 'km1' 사례를 대표적인슬롯사이트사이트로확인해 보면, 'www.exetomsi.com' 사이트에서 제공하는 'Exe to msi converter free' 프로그램을 통해 Windows Installer(.msi) 형태로제작된 것을 알 수 있습니다.
[그림 1-2] 'km2' 슬롯사이트사이트 속성 정보 화면
'km2.msi' 슬롯사이트사이트 내부에는 또 다른 악성 바이너리 코드가 숨겨져 있습니다.
[그림 1-3] MSI 슬롯사이트사이트 내부에 숨겨져 있는 추가 악성 바이너리
내부에 숨겨져 있는 슬롯사이트사이트은 우선 감염된 시스템이가상환경(VMware, VirtualBox) 등인지 프로세스를 비교하여 동적 분석을 방해하게 됩니다.
[그림 1-4] Anti-VM 기능이 존재하는 바이너리 코드 화면
해당 악성 코드는 네트워크 및시스템 정보 등을 수집하며, 다음과 같이 2차 인코딩 데이터를다운로드하여 변환 후 설치하게 됩니다.
- http://27.102.70[.]196/km1 -http://27.102.70[.]196/1.dat
- http://27.102.70[.]196/km2 -http://92.38.135[.]67/2.dat
[그림 1-5] '2.dat' 슬롯사이트사이트과 'wsus.exe' 슬롯사이트사이트 전후 비교
'wsus.exe' 슬롯사이트사이트에는 유효한 디지털 서명('FILESWAP GLOBAL LTD')이 포함되어 있으며, FlawedAmmyy RAT 변종입니다.
FlawedAmmyy RAT 악성코드가 실행되면 다음과 같은 원격 호스트로 접속해 추가 명령을 대기하게 됩니다.
- 169.239.128[.]36
[그림 1-6] Ammyy Admin RAT 코드 화면
공격에 활용된 악성코드를 분석한 결과, ESRC는 2019년 상반기 한국기업의 AD서버를 대상으로 클롭(Clop) 랜섬웨어를 슬롯사이트사이트했던 러시아 기반으로 추정중인 'TA505' 조직이 위협 배후에 가담하고 있는 것으로 의심하고 있습니다.
이번 악성 이슬롯사이트사이트 공격의 배후로 보이는 'TA505'조직은 지난 달에도 '송금증 $(랜덤숫자)', '6월 거래내역서', '국세청 송장' 등으로 사칭한 슬롯사이트사이트 제목으로악성슬롯사이트사이트을 대량 유포한 바 있습니다.
▶(2019. 06. 20)
▶(2019. 06. 03)
▶(2019. 05. 30)
▶(2019. 05. 28)
▶(2019. 05. 21)
▶(2019. 05. 16)
▶(2019. 05. 08)
▶(2019. 05. 02)
▶(2019. 04. 24)
▶(2019. 03. 22)
▶(2019. 02. 14)
조금 달라진 부분은, 기존에는 주로 MS오피스의 'xls', 'doc' 문서 슬롯사이트사이트의 매크로 기능을 활용했지만 이번에는 압축슬롯사이트사이트 내부에 PDF문서 슬롯사이트사이트로 위장한 실행슬롯사이트사이트(.scr)을 담고 있다는 점과 최근 약간 활용이 뜸해진 바로가기(.lnk)슬롯사이트사이트을 이용한 악성행위를 수행했다는 점이라고 할 수 있습니다.
위와 같은 방식으로 슬롯사이트사이트된 이번 악성코드에 감염될 경우, 공격자가 지정한 C&C서버와의 통신을 통해 공격자가 감염된 PC를 원격지에서 제어할 수 있게 되고 정보수집 및 추가 악성코드 설치도 가능한데, 이를 통해 공격자는 특정 기업의 내부 환경에 대해 정보를 수집하고 맞춤형 랜섬웨어를 슬롯사이트사이트할 수 있는 가능성도 있다고 보여집니다.
특히 이번에 확인된 악성코드는 유효한 디지털서명도 포함하고 있어, 슬롯사이트사이트에서 활용중인 화이트리스트 기반 보안솔루션을 우회가능하다는 점에서 더욱 주의를 기울여야 합니다.
[그림2]악성코드가 포함하고 있는 유효한 디지털 서명
이외에도 세금계산서 처럼 위장한 사례도 함께 슬롯사이트사이트한 정황이 확인되었습니다. 마치 전자세금계산서가 발행된 것처럼 위장해 악성 엑셀 파일을 다운로드하여 실행하도록 유도합니다.
[그림 3] 슬롯사이트사이트(세금) 계산서로 위장한 사례
마치 이슬롯사이트사이트 화면에는 '25072019_0291.xls' 파일 링크가 존재하며, 다음과 같은 악성 파일이 특정 한국 호스트에 연결되어 있습니다.
-http://coreapc.co[.]kr/25072019_8351.xls
-http://korpla.co[.]kr/25072019_0291.xls
-http://www.ma.mctv.ne[.]jp/~blanc/25072019_4093.xls
- http://fakers.co[.]jp/25072019_0963.xls
FileName | MD5 |
25072019_8351.xls | 4d0511050aa5e48d3cac0e697e168fb3 |
| 25072019_0291.xls | 7928e36c8a45f98d5adf2016740b77eb |
| 25072019_4093.xls | 5f6c61cccf8cb547a3979e1d49a7ef81 |
| 25072019_0963.xls | d6438345c12dd000ff2d55a7a3b8ccb6 |
그리고 엑셀 슬롯사이트사이트이 실행되면 다음과 같이 오류가 발생한 것처럼 조작한 문구로 현혹해 악성 매크로 기능을 실행하도록 유도합니다.
[그림 4] 악성 엑셀 문서 실행 화면
매크로가 작동하면, '92.38.135[.]67' 호스트로 접속해 'k2' 악성슬롯사이트사이트을 설치시도하게 됩니다.
현재 ESRC는 관련 이슈에 대한 지속적인 모니터링을 통해 변종 발생에 대응중이며, 이슈 관련 IoC(침해지표)에 대해서는 공개한 부분 외에 추가되는 내용이 있는 경우 '' 서비스에서 확인이 가능합니다.
현재 알약에서는 해당 악성슬롯사이트사이트에 대해Trojan.Downloader.9216C,Trojan.Agent.180224, Trojan.Agent.155400, Trojan.Downloader.XLS.gen, Backdoor.RAT.FlawedAmmyy로 탐지 중에 있습니다.